개인정보보호책임자(CPO) 정보보호최고책임자(CISO)

기업의 담당자로 지내면서 늘 고민하는 부분은 

정보보호최고책임자(CISO)와 개인정보보호책임자(CPO) 지정에 관한 건입니다. 

 

CISO의 경우 정보통신망법에 의거하여

중앙전파관리소 정보보호최고책임자지정신고 메뉴를 통해 신고 가능합니다. 

https://www.crms.go.kr/lay1/S1T54C68/contents.do

홈 >업무안내>방송통신사업 등록관리>정보보호 최고책임자지정신고

 

정보보호 최고책임자 지정ㆍ신고 관련 법령

정보통신망 이용촉진 및 정보보호에 관한 법률 제45조의3(정보보호 최고책임자의 지정 등), 제76조(과태료부과)
정보통신망 이용촉진 및 정보보호에 관한 법률 시행령 제36조의7(정보보호 최고책임자 지정 및 겸직금지 등), 제36조의8(정보보호 최고책임자의 신고 방법 및 절차)
정보통신망 이용촉진 및 정보보호에 관한 법률 시행규칙 제2조(정보보호 최고책임자 지정ㆍ신고 등)
 

 

정보보호 최고책임자의 지정 등

정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임직원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다.
다만, 자산총액, 매출액 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자의 경우에는 정보보호 최고책임자를 지정하지 아니할 수 있다.
 

 

의무 제외 대상자

자본금이 1억원 이하인 자
소기업(중소기업기본법 제2조 제2항에 따른 소기업)
중기업으로서 전기통신사업자, 정보보호관리체계 인증 의무대상자, 개인정보처리자, 통신판매업자가 아닌 자 

CISO의 자격 요건

정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
법 제47조제6항제5호에 따른 정보보호 관리체계 인증심사원의 자격을 취득한 사람
해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
 

겸직 금지

[대상]
직전 사업연도 말 기준 자산총액이 5조원 이상인 자
정보보호 관리체계 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액 5천억원 이상인 정보통신 서비스제공자

[자격요건]
정보보호 분야의 업무를 4년 이상 수행한 경력이 있는 사람
정보보호 분야의 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행한 경력이어야 한다) 이상인 사람
CISO 자격요건을 충족하고, 상근하는 자로서 위 자격요건 중 어느 하나를 갖추어야 함.

 

 

개인정보보호책임자의 경우 법적요건을 따릅니다. 

개인정보 보호책임자의 지정

 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정해야 합니다
(「개인정보 보호법」 제31조제1항 본문).
 이를 위반하여 개인정보 보호책임자를 지정하지 않은 자는 1천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제4항제9호).
※ "개인정보"란 살아 있는 개인에 관한 정보로서 다음의 어느 하나에 해당하는 정보를 말합니다(「개인정보 보호법」 제2조제1호).
1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보(이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 함)
3. 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보
※ "가명처리"란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말합니다((「개인정보 보호법」 제2조제1호의2).
※ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다(「개인정보 보호법」 제2조제5호).
 종업원 수, 매출액 등 다음의 요건을 모두 갖춘 개인정보처리자의 경우 보호책임자를 지정하지 않을 수 있습니다. 지정하지 않으면 개인정보처리자의 사업주 또는 대표자가 개인정보 보호책임자가 됩니다(「개인정보 보호법」 제31조제1항 단서·제2항 및 「개인정보 보호법 시행령」 제32조제1항).
 상시 근로자 수가 10명 미만일 것
 업종별 상시 근로자 수 등이 5명 미만일 것(광업·제조업·건설업 및 운수업의 경우 10명 미만)
 개인정보처리자는 개인정보 보호책임자의 자격요건, 업무 및 독립성 보장 등에 필요한 사항은 매출액, 개인정보의 보유 규모 등을 고려하여 다음의 구분에 따라 개인정보 보호책임자를 지정합니다(「개인정보 보호법」 제31조제9항 및 「개인정보 보호법 시행령」 제32조제3항).

 

개인정보 보호책임자의 업무

 개인정보 보호책임자는 다음의 업무를 수행합니다(「개인정보 보호법」 제31조제3항 및 「개인정보 보호법 시행령」 제32조제2항). 

• 개인정보 보호 계획의 수립 및 시행
• 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
•  개인정보 처리와 관련한 불만의 처리 및 피해 구제
•  개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
•  개인정보 보호 교육 계획의 수립 및 시행
•  개인정보파일의 보호 및 관리·감독
•  개인정보 처리방침의 수립·변경 및 시행
•  개인정보 처리와 관련된 인적·물적 자원 및 정보의 관리
•  처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

개인정보 보호책임자는 위의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있습니다(「개인정보 보호법」 제31조제4항).
 개인정보 보호책임자는 개인정보 보호와 관련하여 「개인정보 보호법」 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 해야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고해야 합니다(「개인정보 보호법」 제31조제5항).
 개인정보처리자는 개인정보 보호책임자가 개인정보의 처리에 관한 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 해서는 안 됩니다(「개인정보 보호법」 제31조제6항).
 개인정보처리자는 개인정보의 안전한 처리 및 보호, 정보의 교류, 그 밖에 「개인정보 보호법 시행령」으로 정하는 공동의 사업을 수행하기 위하여 개인정보 보호책임자를 구성원으로 하는 개인정보 보호책임자 협의회를 구성·운영할 수 있습니다(「개인정보 보호법」 제31조제7항).